Compliance und Datenschutz

Löschen Sie Ihre Daten!

Beim Datenschutz gibt es in vielen Unternehmen noch Einiges zu verbessern, zum Beispiel auch einmal Daten zu löschen. Doch was ist dabei zu beachten?

von Thomas Jansen, am 14. Juli 2010

Sie hat sich in viele Firmen eingeschlichen – die Angst vor dem Löschen von Daten. Eine Ursache sind die vielen rechtlichen Vorgaben zur Archivierung. Die Unternehmen wollen bei der Compliance nichts falsch machen und versinken dadruch allmählich im Datenmeer. Binnen drei Jahren versechsfacht sich laut Prognosen das Datenvolumen in den Firmen.

Der fehlende Mut zum Löschen ist dabei offenkundig kontraproduktiv. Schlimmer: Wer gar nichts löscht, verstößt ebenfalls gegen die Regeln. Der Gesetzgeber fordert lediglich, „erforderliche“ Daten aufzubewahren. Lesen Sie hier, was das in der Wirklichkeit heißt, was Sie problemlos löschen können und wie sie effizient und regelkonform archivieren.

Datenschutzrecht behindert Sammelwut

Bei der systematischen Archivierung von Dokumenten sind die Grundsätze des Datenschutzrechts [6] zu beachten. Danach hat sich die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten auf das notwendige Maß zu beschränken. Dies ergibt sich unter anderem aus Paragraf 28 Absatz 1 Bundesdatenschutzgesetz [7] (BDSG). Demnach ist es nur dann zulässig, personenbezogene Daten zu erheben, zu speichern, zu verändern oder zu übermitteln, wenn dies zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist.

Personenbezogene Daten

Erforderlich ist die Datenverarbeitung nur dann, wenn die berechtigten Interessen der verantwortlichen Stelle auf andere Weise nicht angemessen zu wahren sind, wie es im Juristendeutsch heißt - oder im Klartext: wenn es nach Lage der Dinge kein anderes sinnvolles oder zumutbares Mittel gibt, um den Zweck zu erreichen, und schutzwürdige Interessen der Betroffenen dem nicht entgegenstehen.

Aber auch was für die Dauer der Aufbewahrungspflicht gilt, ist nach deren Ablauf oft hinfällig; dann werden die schutzwürdigen Interessen der Betroffenen meist überwiegen. Sprich: Dokumente, die personenbezogene Daten enthalten, sind dann zu löschen.

Anonym oder Pseudonym?

In Paragraf 3a BDSG [8] ist der Grundsatz der Datenvermeidung und Datensparsamkeit verankert. Danach haben sich Gestaltung und Auswahl von Datenverarbeitungssystemen an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.

Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung [9] Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zum Schutzzweck steht. Werden beispielsweise die Daten allein zu statistischen Zwecken erhoben, so ist es grundsätzlich nicht notwendig, personenbezogene Daten zu speichern. In diesem Fall sind die Daten anonym zu erheben oder nachträglich zu anonymisieren.

Heikle Daten speichern oder löschen?

Aber es gibt noch andere Gründe, um sich mit der systematischen Datenlöschung zu beschäftigten. Die Beschäftigung mit dem Thema lässt sich ursprünglich auf das US-amerikanische Zivilrecht zurückführen. Der "Discovery-Grundsatz" besagt, dass Parteien eines Rechtsstreits Informationen des Gegners anfordern dürfen, um im Fall einer Anklage dessen Position besser einschätzen zu können. Dieser Grundsatz verpflichtet die Unternehmen also, auf Anfrage den punktuellen Zugriff auf Daten sicherzustellen. Damit müssten sie vor Gericht eventuell Informationen vorlegen, die ihnen selbst schaden können (lesen Sie auch, welche Dokumente Ihnen bei Rechtsstreitigkeiten weiterhelfen [3]).

Vorbeugen lässt sich dieser unangenehmen Situation dadurch, dass die nachgefragten Daten bereits vor Beginn des Rechtstreits gelöscht wurden. Sollten diese Daten jedoch unrechtmäßig gelöscht worden sein, sieht das US-amerikanische Recht erhebliche Strafen vor. Insbesondere Unternehmen mit Geschäftsbeziehungen in die USA sollten daher die rechtlichen Vorgaben zum systematischen Archivieren und Löschen von Dokumenten kennen.

Dabei stoßen zwei gegenläufige Interessen aufeinander. Vom Compliance [10]-Standpunkt aus betrachtet, sollen Unternehmen möglichst alle Daten archivieren, um auch ja den gesetzlichen Vorgaben zu genügen. Aus der Discovery-Perspektive stellt sich die Situation völlig anders dar: Hier sollten die Unternehmen in ihrem eigenen Interesse nicht mehr Daten speichern, als sie müssen. Einerseits sollen also Dokumente und Daten über einen bestimmten Zeitraum archiviert werden, andererseits sollten die Unternehmen große Datenmengen vermeiden - zum einen aus Datenschutzgründen [11], zum anderen aus prozessualen Erwägungen.

Organistorische Maßnahmen

Um das im Text skizzierte Dilemma zu lösen, empfehlen sich folgende Maßnahmen.

• Unternehmen sollten ihr Dokumenten-Management auf einen aktuellen Stand bringen, indem sie Richtlinien für das Archivieren und Löschen von unternehmenskritischen Dokumenten erstellen und so die Datenflut systematisch verringern.

• Zudem sollten sie ihre IT-Infrastruktur in Bezug auf die Effizienz und Sicherheit der Speichermedien [12] überprüfen.

• Vergangene Schadensfälle, in denen es um nicht gelöschte Daten ging, werden sinnvollerweise dokumentiert. Ziel muss es sein, eine Systematik zu erkennen, aus der sich Richtlinien zur Prävention ableiten lassen. Möglicherweise müssen dafür eigene Stellen geschaffen werden.

• CIOs und Inhouse-Justiziare oder spezialisierte Anwälte müssen kooperieren, um rechtliche Vorgaben mit unternehmerischen Zielen zu harmonisieren. Dabei sollte es darum gehen, die Kosten durch ein systematisches Dokumenten-Management [13] zu verringern.

• Last, but not least sind effektive Informationsstrategien für das strukturierte Identifizieren, Sichten, Aufbewahren und Löschen von Dokumenten entlang rechtlicher Vorgaben zu etablieren.

Wie lange muss gespeichert werden?

Bleibt die Frage, welche Daten nun eigentlich wie lange aufbewahrt werden müssen. Laut Paragraf 257 [14] Handelsgesetzbuch (HGB) ist jeder Kaufmann angehalten, Dokumente zu archivieren. Das betrifft nicht nur die Kapitalgesellschaften, sondern jede Person, die ein Handelsgewerbe betreibt, sowie Personengesellschaften (GbR, OHG, KG, GmbH & Co. KG), die diesem Zweck dienen. Aufbewahrt werden müssen Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse, Lageberichte, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, aber auch Handelsbriefe und Buchungsbelege.

Die Unterlagen können auch elektronisch aufbewahrt werden - mit Ausnahme der Eröffnungsbilanzen und Abschlüsse. Verfügbar sein müssen die Unterlagen zehn Jahre lang; im Fall der Handelsbriefe reichen sechs Jahre. Dasselbe gilt für alle E-Mails [15], die ein Handelsgeschäft betreffen (hier finden Sie Tipps zur E-Mail-Archivierung [16]).

Ob es nun um einen letzten Eintrag in das Handelsbuch geht, die Inventur aufgestellt oder der Jahresabschluss [17] getätigt wird oder ob ein Buchungsbeleg entstanden ist - die Aufbewahrungsfristen laufen immer zum 31. Dezember eines Jahres ab. Dieser einheitliche Stichtag erleichtert den Unternehmen das systematische Löschen von Dokumenten. Nicht mehr aufbewahrungspflichtige Daten lassen sich grundsätzlich zum 1. Januar eines Jahres automatisch löschen.

Was das Steuerrecht fordert

Neben dem Handels- hält auch das Steuerrecht Vorschriften zur Dokumenten-Aufbewahrung bereit. Gemäß Paragraf 147 Absatz 1 Abgabenordnung ("AO") ist jeder Steuerpflichtige verpflichtet, Unterlagen geordnet aufzubewahren, die Bedeutung für die Besteuerung haben (mehr zum Thema Steuerrecht und Archivierung finden Sie hier [5]).

Auch im Steuerrecht gilt, dass die Unterlagen grundsätzlich elektronisch aufbewahrt werden können - wiederum mit zwei Ausnahmen: Eröffnungsbilanzen und Zollunterlagen. Die Zeiträume zur Aufbewahrung decken sich mit den Anforderungen nach dem Handelsrecht.

Und auch hier enden die Aufbewahrungsfristen grundsätzlich zum 31. Dezember eines Jahres. Abhängig vom Dokument beginnt die Frist in dem Jahr, in dem der letzte Eintrag vorgenommen wurde beziehungsweise in dem das Dokument entstand oder empfangen/versendet wurde.

Allerdings läuft die Aufbewahrungsfrist nicht eher ab als die Festsetzungsfrist der steuerrelevanten Unterlagen. Die Festsetzungsfrist beginnt mit Ablauf des Jahres, in dem die Steuer entsteht. Die Frist beträgt für Zölle und Verbrauchssteuern ein Jahr, für die übrigen Steuern vier Jahre. Bei leichtfertiger Steuerverkürzung [18] verlängert sich die Frist auf fünf Jahre, bei Steuerhinterziehung auf zehn Jahre.

GoBS und GDPdU

Geht es um die rechtlichen Anforderungen an die Archivierung, so müssen die Bücher eines Kaufmanns sowie dessen Jahresabschluss den Grundsätzen ordnungsgemäßer Buchführung [19] (GoB) entsprechen. Das gilt für das Papierarchiv, aber auch für die elektronische Aufbewahrung.

Doch weder das HGB noch die Abgabenordung definieren Art und Umfang der GoB. Deshalb hat die deutsche Finanzverwaltung 1995 die Grundsätze ordnungsmäßiger IT-gestützter Buchführungssysteme (GoBS [20]) verabschiedet. Deren Ziel ist es, die GoB für die IT-gestützten Buchführung zu präzisieren.

Die GoBS regeln die Behandlung aufbewahrungspflichtiger Daten und Belege in elektronischen Buchführungssystemen sowie in datensicheren Dokumenten-Management- und revisionssicheren Archivsystemen. Darüber enthalten sie Regeln zu Verfahrenstechniken (zum Beispiel Scannen und Datenübernahme) sowie Vorgaben für die Verfahrensdokumentation.

Auch die GDPdU spielen eine Rolle

Neben den GoBS kommen auch die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU [21]) zur Anwendung. Sie enthalten Regeln zum Aufbewahren digitaler Unterlagen und zur Mitwirkungspflicht der Steuerpflichtigen bei Betriebsprüfungen. Im Detail sind das Regelungen zu:

• Anforderungen an die Aufbewahrung von Rechnungen im Sinne des UStG ("elektronische Abrechnungen");

• Anforderungen an die Prüfbarkeit digitaler Unterlagen;

• Mitwirkung des Steuerpflichtigen beim Datenzugriff durch Betriebsprüfer.

Erfordert eine Betriebsprüfung den Zugriff auf Daten, die beim Steuerpflichtigen gespeichert sind, kann der Betriebsprüfer laut GDPdU zwischen drei Arten des Datenzugriffs wählen. Möglich ist zum einen der unmittelbare Lesezugriff, zum anderen der mittelbare Datenzugriff über Auswertungen, die der Steuerpflichtige nach den Vorgaben des Prüfers erstellt, und zum dritten die Datenträgerüberlassung in verschiedenen Formaten.

Dass die GDPdU-Vorschriften eingehalten werden, ist die Voraussetzung dafür, dass eine Auslagerung der elektronischen Bücher und sonstigen erforderlichen Unterlagen in das Ausland genehmigt wird.

 

Thomas Jansen ist Partner der internationalen Rechtsanwaltskanzlei DLA Piper [22] in München.

Mit freundlicher Genehmigung der CFOWorld-Schwesterpublikation Computerwoche [23].